Firefox 67.0.3 および 60.7.1 のリリース後 追加の修正リリース 67.0.4 および 60.7.2。0 番目のゼロデイが削除されました。 (CVE-2019-11708)、サンドボックス分離メカニズムをバイパスできるようになります。 この問題では、IPC Prompt:Open 呼び出しの操作を使用して、子プロセスによって選択された Web コンテンツをサンドボックス化されていない親プロセスで開きます。 この問題が別の脆弱性と組み合わされると、すべてのレベルの保護が回避され、システム上でコードが実行される可能性があります。
Firefox の過去 XNUMX つのリリースで修正される前に特定された脆弱性 Coinbase 暗号通貨取引所の従業員に対する攻撃を組織するためだけでなく、 macOS プラットフォーム用のマルウェアを配布するため。 最初の脆弱性に関する情報は、15 月 10 日と XNUMX 月 XNUMX 日に Google Project Zero のメンバーによって Mozilla に送信されました。 Firefox 68 のベータ版で発生しました (攻撃者は公開された修正プログラムを分析し、別の脆弱性を利用してサンドボックス分離をバイパスするエクスプロイトを準備したと考えられます)。
出所: オープンネット.ru